Udostępnij za pośrednictwem

Omówienie grup łączników sieci prywatnej firmy Microsoft Entra

  • Artykuł

Użyj grup łączników sieci prywatnej, aby przypisać określone łączniki do określonych aplikacji. Grupy łączników zapewniają większą kontrolę i umożliwiają optymalizowanie wdrożeń.

Każdy łącznik sieci prywatnej jest przypisywany do grupy łączników. Wszystkie łączniki należące do tej samej grupy łączników działają jako oddzielna jednostka na potrzeby wysokiej dostępności i równoważenia obciążenia. Wszystkie łączniki należą do grupy łączników. Jeśli nie utworzysz grup, wszystkie łączniki znajdują się w grupie domyślnej. Nowe grupy łączników można tworzyć i przypisywać łączniki w centrum administracyjnym firmy Microsoft Entra.

Grupy łączników są przydatne, jeśli aplikacje są hostowane w różnych lokalizacjach. Grupy łączników są tworzone na podstawie lokalizacji. Aplikacje używają łączników, które są fizycznie blisko nich.

Napiwek

Jeśli masz duże wdrożenie serwera proxy aplikacji, nie przypisz żadnych aplikacji do domyślnej grupy łączników. Dzięki temu nowe łączniki nie odbierają żadnego ruchu na żywo, dopóki nie przypiszesz ich do aktywnej grupy łączników. Ta konfiguracja umożliwia również umieszczenie łączników w trybie bezczynności, przenosząc je z powrotem do grupy domyślnej, dzięki czemu można wykonywać konserwację bez wpływu na użytkowników.

Wymagania wstępne

Aby używać grup łączników, musisz mieć wiele łączników. Nowe łączniki są automatycznie dodawane do grupy Łącznik domyślny . Aby uzyskać więcej informacji na temat instalowania łączników, zobacz konfigurowanie łącznikówD.

Przypisywanie aplikacji do grup łączników

Podczas pierwszego publikowania aplikacji przypisujesz aplikację do grupy łączników. Możesz również zaktualizować grupę, do której jest przypisany łącznik.

Przypadki użycia grup łączników

Grupy łączników są przydatne w różnych scenariuszach, w tym:

Lokacje z wieloma połączonymi centrami danych

Duże organizacje używają wielu centrów danych. Chcesz zachować jak najwięcej ruchu w określonym centrum danych, ponieważ linki między centrami danych są kosztowne i powolne. Łączniki są wdrażane w każdym centrum danych, aby obsługiwać tylko aplikacje znajdujące się w centrum danych. Takie podejście minimalizuje linki między centrami danych i zapewnia użytkownikom całkowicie przejrzyste środowisko.

Aplikacje zainstalowane w sieciach izolowanych

Aplikacje mogą być hostowane w sieciach, które nie są częścią głównej sieci firmowej. Grupy łączników umożliwiają zainstalowanie dedykowanych łączników w izolowanych sieciach w celu odizolowania aplikacji do sieci. Scenariusz jest typowy dla dostawców, którzy utrzymują określoną aplikację.

Aplikacje zainstalowane na IaaS

W przypadku aplikacji zainstalowanych w infrastrukturze jako usługa (IaaS) na potrzeby dostępu do chmury grupy łączników zapewniają wspólną usługę zabezpieczania dostępu do wszystkich aplikacji. Grupy łączników nie tworzą większej liczby zależności w sieci firmowej ani nie fragmentują środowiska aplikacji. Łączniki są instalowane w każdym centrum danych w chmurze i obsługują tylko aplikacje znajdujące się w tej sieci. Aby uzyskać wysoką dostępność, należy zainstalować kilka łączników.

Przykładem może być organizacja, która ma kilka maszyn wirtualnych połączonych z własną siecią wirtualną hostowaną przez usługę IaaS. Aby umożliwić pracownikom korzystanie z tych aplikacji, te sieci prywatne są połączone z siecią firmową przy użyciu wirtualnej sieci prywatnej (VPN) typu lokacja-lokacja. Sieć VPN typu lokacja-lokacja zapewnia dobre środowisko dla pracowników, którzy znajdują się lokalnie. Nie jest to jednak idealne rozwiązanie dla pracowników zdalnych, ponieważ wymaga więcej infrastruktury lokalnej do kierowania dostępu, jak pokazano na diagramie:

Diagram ilustrujący sieć IaaS firmy Microsoft Entra

Dzięki grupom łączników sieci prywatnej firmy Microsoft Entra można włączyć wspólną usługę w celu zabezpieczenia dostępu do wszystkich aplikacji bez tworzenia większej liczby zależności w sieci firmowej:

Microsoft Entra IaaS — wielu dostawców usług w chmurze

Wiele lasów — różne grupy łączników dla każdego lasu

Logowanie jednokrotne jest często osiągane przy użyciu ograniczonego delegowania protokołu Kerberos (KCD). Maszyny łącznika są przyłączone do domeny, która może delegować użytkowników do aplikacji. KCD wspiera funkcjonalności między lasami. Jednak w przypadku firm, które mają różne środowiska z wieloma lasami bez zaufania między nimi, nie można używać jednego łącznika dla wszystkich lasów. Zamiast tego określone łączniki są wdrażane dla każdego lasu i mają obsługiwać aplikacje publikowane tak, aby obsługiwały tylko użytkowników tego konkretnego lasu. Każda grupa łączników reprezentuje inny las. Chociaż dzierżawa (klient) i większość doświadczenia są ujednolicone dla wszystkich lasów, użytkownicy mogą być przypisywani do swoich aplikacji leśnych przy użyciu grup Microsoft Entra.

Lokacje odzyskiwania po awarii

Istnieją dwa podejścia do rozważenia w przypadku lokalizacji odzyskiwania po awarii (DR):

  • Serwis odzyskiwania po awarii jest wbudowany w trybie aktywno-aktywnym, w którym jest dokładnie taki sam jak główna witryna. Lokacja ma również te same ustawienia sieci i usługi Active Directory (AD). Łączniki można utworzyć na lokalizacji awaryjnej w tej samej grupie łączników co lokalizacja główna. Microsoft Entra ID wykrywa przełączenia awaryjne.
  • Witryna DR jest oddzielona od głównej witryny. W lokacji odzyskiwania po awarii utworzysz inną grupę łączników. Masz możliwość korzystania z aplikacji do tworzenia kopii zapasowych lub ręcznego przekierowania istniejących aplikacji do grupy złączy DR zgodnie z potrzebami.

Obsługa wielu firm z jednego najemcy

Można zaimplementować model, w którym jeden dostawca usług wdraża i obsługuje usługi związane z firmą Microsoft Entra dla wielu firm. Grupy łączników ułatwiają segregowanie łączników i aplikacji do różnych grup. Jednym ze sposobów odpowiednich dla małych firm jest posiadanie jednej dzierżawy Microsoft Entra, przy czym różne firmy mają własne nazwy domen i sieci. Takie samo podejście działa w przypadku scenariuszy fuzji i sytuacji, w których pojedynczy dział obsługuje kilka firm ze względów regulacyjnych lub biznesowych.

Przykładowe konfiguracje

Rozważmy te przykładowe konfiguracje grup łączników.

Konfiguracja domyślna — brak użycia dla grup łączników

Jeśli nie używasz grup łączników, konfiguracja będzie wyglądać następująco:

Przykład bez grup łączników

Konfiguracja jest wystarczająca dla małych wdrożeń i testów. Działa również, jeśli organizacja ma płaską topologię sieci.

Domyślna konfiguracja i izolowana sieć

Konfiguracja stanowi rozwinięcie domyślnej; określona aplikacja jest uruchamiana w izolowanej sieci, takiej jak sieć wirtualna IaaS.

Przykład Microsoft Entra w izolowanej sieci bez grup łączników

Zalecana konfiguracja — kilka określonych grup i domyślna grupa w przypadku bezczynności

Zalecaną konfiguracją dla dużych i złożonych organizacji jest posiadanie domyślnej grupy łączników jako grupy, która nie obsługuje żadnych aplikacji i jest używana dla bezczynnych lub nowo zainstalowanych łączników. Wszystkie aplikacje są obsługiwane przy użyciu dostosowanych grup łączników.

W tym przykładzie firma ma dwa centra danych, A i B, z dwoma łącznikami obsługującymi każdą lokację. Każda witryna ma różne aplikacje, które są na niej uruchamiane.

Przykład firmy z 2 centrami danych i 2 łącznikami

Następne kroki